Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • Status Closed
  • Percent Complete
    100%
  • Task Type Anomalie
  • Category Freebox OS
  • Assigned To No-one
  • Operating System Tous
  • Severity Critical
  • Priority Very Low
  • Reported Version 4.2.5
  • Due in Version Undecided
  • Due Date Undecided
  • Votes 6
  • Private
Attached to Project: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Opened by nom_utilisateur - 23/11/2020
Last edited by Thibaut Freebox - 02/06/2022

FS#33197 - [Sécurité] Activer le Firewall IPV6 SVP

Hello,

Il me semble indispensable d’activer le firewall IPV6 par défaut, étant donnée que :

  • Le IPV6 est activé “en silence”, sans communication au préalable, ça peut créer un grand moment de solitude quand on croisse un paquet chez soi pour la première fois : où ai-je merdé ? depuis quand ?? suis-je jamais passé devant le webcam de mon imprimante en slip ???
  • Il y a de plus en plus de trucs vulnérables à l’internet chez nous : au prix de 10€ la lamp connectée, ou 5€ un ESP32 pour que les enfants apprennent à programmer, on n’a plus de temps ni le moyen de sécuriser tout ça.

Il est donc logique (et indispensable) d’activer le firewall IPV6 par défaut.

Merci de vouloir bien prendre en considération cette demande.

Closed by  Thibaut Freebox
02.06.2022 16:13
Reason for closing:  Ne sera pas implémenté
11/02/2024: A request to reopen the task has been made. Reason for request: L'IPV6 est quelque chose de complexe à comprendre pour un néophyte, cette option Firewall IPV6 devrait être une option activée par défaut pour renformer la sécurité de vos abonnés. Cela limiterait la casse ... D'autant plus pour les objets connectés faiblement sécurisés, les caméras connectés, etc...

L'activation du pare feu IPv6 dans la box peut parfois poser des problèmes.
L'un de ces problèmes est qu'actuellement il n'y a pas de redirection de ports disponibles en IPv6

On constate parfois que ce pare feu n'est pas totalement neutre et filtre des choses qu'il ne devrait pas filtrer, dans ce cas on chosit de désactiver le pare feu IPv6 de la Box, en sachant que la tâche est déléguée à d'autres appareils du réseau.
Ce pare feu peut donc parfois poser des soucis à certains gamers voilà pourquoi sans doute l'activation n'est effectué par défaut

Dans tous les cas, inutile de crier au loup, TOUS VOS APPAREILS sont par défaut équipés d'un pare feu Ipv6, car tout simplement dans l'implémentation du protocole IPv6 il a été fixé comme préalable que le pare feu ETAIT UN PREALABLE, contrairement au protocole IPv4 qui a d'abord été implémenté sans pare feu.

Donc à moins d'avoir affreusement bidouillé vos équipements, Windows, Linux... ils sont tous protégés par défaut par des pare feu IPv6 personnels.
Quant à la majorité des équipements réseaux, beaucoup continuent volontairement à ignorer le protocole Ipv6 pour bénéficier de la protection naturelle du NAT Ipv4 et ne pas s'ennuyer à implémenter un quelconque pare feu.

Bref... le pare feu IPv6 de la Box il n'apporte pas grand chose en l'état actual, si ce n'est de possibles ennuis de connexion sur certains sites, personnellement je l'ai désactivé en attendant qu'à minima les devs ait développé une redirection de ports.

Tous mes PCs sont protégées par leur pare feu IPv4/Ipv6 par défaut ou par un pare feu commercial, peu importe

Ajoutons que la désactivation du pare feu IPv6 dans Freebox OS n'a sans doute pas le sens que vous pensez.
Le pare feu IPv6 est en réalité toujours actif sauf qu'il ne protège par défaut que la Box elle-même, car encore une fois IPv6 et pare feu sont étroitement liés.

C'est juste que la Box laisse passer tous les flux vers les hôtes réseaux, à charge pour ces derniers de prendre en main leur protection. Bref quoi, la désactivation du pare feu IPv6 s'assimile plus à une sorte de forward DMZ façon Ipv6

Firewall par défaut dans IPV6 ? C'est comme IPSEC par tout, des promesses qui n'engagent que ceux qui les reçoivent ( © J.C. ) ?

Si c'est en compter sur le trillion d'adresses d'un /64, c'est oublié vite que l'humain est faible, qui attribuera toujours ::1 pour le routeur, ::cafe/::c0de/::babe voire ::1337 pour les machines dont on ignoer l'usage.

Je maintiens donc, en bon père de famille, qu'il faut activer le firewall IPV6 par défaut sur la box.

Curtn commented on 31.01.2021 10:40

Le minimum serait sans doute de mieux documenter ce que fait réellement cette fonction firewall IPv6 ? Avec quel usage serait-elle incompatible ? En effet, je ne suis pas certain que le message d'aide sibyllin de la Freebox "filtre le traffic IPv6 entrant inconnu" soit parfaitement clair pour tous ? De plus, si on pouvait activer des logs de sessions TCP/UDP et des stats, ça pourrait aider les plus avertis à comprendre ce qui se passe.

Je rejoins @freemagician, un pare-feu IPv6 dans une middlebox est inutile et casse Internet, de la même manière que le NAT casse Internet.

@nom_reel (nom_utilisateur)

L'humain n'attribue pas les adresses IPv6, les adresses IPv6 sont autoconfigurées en SLAAC. C'est à dire que les équipements attribuent tous seuls leur adresse IPv6, sur la base des Router Advertisement reçus depuis la box. Initialement, cette autoconfiguration se faisait sur la base de l'adresse MAC, mais étant donné que la MAC peut-être inférée, le mécanisme recommandé par l'IETF depuis maintenant plusieurs années est l'utilisation d'un identifiant totalement aléatoire dans le préfixe /64. Dans la pratique, il est absolument impossible d'énumérer ce /64 sans mettre la box par terre.

Dans le cas où l'attribution de l'adresse IPv6 se fait à la main, cela suppose que l'utilisateur est supposé être expert, et suffisamment accoutumé aux concepts réseau pour connaître le principe de pare-feu et savoir qu'il faut vérifier l'état d'activation de son pare-feu sur sa box, et le cas échéant l'activer si besoin.

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing